Une extension de navigateur furtive, baptisée « Crypto Copilot », a été découverte siphonnant les frais de transaction des échanges Solana des utilisateurs pendant des mois avant d’être identifiée par la société de cybersécurité Socket. L’extension, disponible sur le Chrome Web Store depuis juin 2025, se présentait comme un assistant de trading pour les utilisateurs de Raydium, mais exécutait des instructions de transfert cachées parallèlement aux transactions d’échange légitimes.
Lors de l’installation, « Crypto Copilot » injectait une instruction supplémentaire dans chaque lot d’échanges sur DEX, détournant soit 0,0013 SOL soit 0,05 % du montant de l’échange vers un portefeuille contrôlé par l’attaquant. En tirant parti de l’exécution atomique des transactions sur Solana, l’extension contournait les avertissements de l’interface du portefeuille, poussant les utilisateurs non avertis à autoriser simultanément les transferts prévus et malveillants.
Une analyse on-chain a révélé un petit nombre de victimes jusqu’à présent, avec des pertes cumulées minimes. Cependant, l’exploitation croît linéairement avec le volume des échanges, pouvant détourner des montants importants chez les traders à gros volume. Par exemple, un échange de 100 SOL redirigerait 0,05 SOL, soit environ 10 dollars selon les taux de change en vigueur, par transaction.
Les experts en sécurité ont noté que l’infrastructure backend de l’extension manquait de maturité opérationnelle. Le domaine principal, cryptocopilot.app, était hébergé sur un service d’hébergement générique, tandis que le point de terminaison du tableau de bord contenait des fautes typographiques et renvoyait des pages blanches. De tels oublis suggèrent que l’exploitation provient d’acteurs malveillants amateurs ou d’un travail en freelance, plutôt que d’une campagne sophistiquée dirigée par un État.
Les procédures du Chrome Web Store ont permis à l’extension de rester en ligne malgré les dispositifs de revue automatisés. Socket a déposé une demande de retrait officielle, mais au moment de la rédaction, la suppression était en cours. Il est conseillé aux utilisateurs de vérifier les extensions installées, de révoquer les privilèges de signature et de migrer les fonds vers de nouveaux portefeuilles s’ils ont utilisé l’outil compromis.
Les plateformes d’échange crypto et les fournisseurs de portefeuilles ont été exhortés à mettre en œuvre des contrôles de liste blanche d’extensions, des flux d’approbation à signatures multiples et un décodage des transactions en temps réel pour détecter les instructions ajoutées. Les parties prenantes du secteur évaluent des heuristiques améliorées pour signaler les transactions composites qui s’écartent des schémas d’échange typiques.
Notamment, l’incident met en évidence les risques plus larges inhérents à l’octroi de privilèges de signature aux extensions de navigateur, car un code source fermé peut dissimuler une logique malveillante. Des audits communautaires, des outils open-source et des protocoles de signature décentralisés ont été proposés comme stratégies d’atténuation pour protéger les flux d’actifs sur la chaîne.
À mesure que l’activité DeFi se développe, l’attaque souligne la nécessité de normes de sécurité rigoureuses au niveau de l’interface utilisateur. Les développeurs et les prestataires de garde doivent collaborer pour équilibrer les fonctionnalités pratiques avec des contrôles de sécurité robustes, en veillant à ce que les autorisations des utilisateurs reflètent fidèlement des instructions discrètes sur la chaîne. Sans de telles mesures, des attaques similaires de siphon de frais ou de redirection de fonds pourraient prospérer sur les plateformes.
Les chercheurs continuent de surveiller le portefeuille de l’attaquant pour d’éventuelles transactions et de coordonner avec les autorités pour retracer les fonds volés. La communauté Solana, les opérateurs d’échange et les sociétés de cybersécurité travaillent ensemble pour partager les renseignements sur les menaces et renforcer les meilleures pratiques pour des interactions sécurisées dans les environnements de trading décentralisés.
Commentaires (0)